安全研究人員可以使用CSS附加惡意內容至剪貼板，而不必通知用戶，最終誘騙他們執行不需要的終端命令。此類攻擊就是眾所周知的剪貼板劫持。在大多數情況下，它是無效的，除非用戶在終端內復制內容。安全研究人員Dylan Ayrey上周發布了剪貼板劫持的最新版本，該攻擊是將Java作為攻擊媒介，而非CSS。

這種攻擊被稱之為粘貼劫持，他的概念驗證攻擊原理與舊版CSS漏洞利用一致，但略有不同。

Ayrey解釋稱，不同點在于事件后文本可以被復制，事件后也可以復制在短定時器上，并且易于復制十六進制字符至剪貼板，其可以用于開發VIM。

他還表示，Java讓此類攻擊難以識別且難以中止。

與CSS相較，Java功能更強大且更全能，這類攻擊就體現無遺。CSS要求用戶必須復制-粘貼整個惡意文本，而Java更具欺騙性。

用戶甚至不必選擇整個惡意文本，一個字符就夠。理論上講，攻擊者可以添加惡意粘貼劫持Java代碼至整個頁面，并且當用戶在控制臺內粘貼任何內容，他們可能就潛伏在你背后偷偷摸摸運行命令。

Ayrey甚至提供了演示視頻，展示攻擊者運行惡意代碼、清除控制臺并附加用戶復制的代碼的過程，讓普通網民認為并無異常。

如果與技術支持頁面或釣魚郵件有關聯，此攻擊也許會帶來非常嚴重的后果。用戶可能認為他們正復制正常的文本至控制臺，然而事實上，他們正中了惡意攻擊者的圈套。

因為終端命令會自動執行，用戶甚至不必按下Enter鍵便可執行惡意代碼，CTRL+V足矣。